使用中のワークロード データを Confidential GKE Node で暗号化する

このページでは、Confidential Google Kubernetes Engine ノードを使用して、ノードとワークロードで使用中のデータの暗号化を適用する方法を説明します。暗号化を適用すると、ワークロードのセキュリティを強化できます。

このページは、GKE にセキュリティ対策を実装するセキュリティ スペシャリストを対象としています。 Google Cloud のコンテンツで使用されている一般的なロールとタスクの例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。

このページを読む前に、使用中のデータのコンセプトを理解しておいてください。

Confidential GKE Node とは

ワークロードを暗号化するには、Confidential GKE Node を使用するか、Hyperdisk Balanced の情報保護モードを使用します。

Confidential GKE Node

Confidential GKE Node は、Compute Engine Confidential VM 上に構築され、ハードウェア ベースのメモリ暗号化を利用して、使用中のデータを保護します。Confidential GKE Node は、次の Confidential Computing テクノロジーをサポートしています。

  • AMD Secure Encrypted Virtualization(SEV)
  • AMD Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)
  • Intel Trust Domain Extensions(TDX)

これらのテクノロジーの詳細と、要件に最適なテクノロジーの選択に役立つ情報ついては、Confidential VMs の概要をご覧ください。

Confidential GKE Node により、GKE がクラスタ コントロール プレーンに適用するセキュリティ対策が変更されることはありません。これらの対策については、コントロール プレーンのセキュリティをご覧ください。 Google Cloudプロジェクトのコントロール プレーンにどのユーザーがアクセスしているかを可視化するには、アクセスの透明性を使用します。

Confidential GKE Node を有効にするには、次の手順で操作します。

  • 新しいクラスタを作成する
  • ノードの自動プロビジョニングを使用してワークロードをデプロイする
  • ノードプールを作成する
  • 既存のノードプールを更新する

クラスタレベルの Confidential GKE Node の設定を変更するために、既存のクラスタを更新することはできません。

次の表に示すのは、Confidential GKE Node を有効にしたときに適用される GKE の動作です。

Confidential GKE Node の設定 構成方法 動作
クラスタレベル Autopilot モードまたは Standard モードの新しいクラスタを作成する

すべてのノードで Confidential GKE Node が使用されます。この操作は元に戻せません。個々のノードの設定をオーバーライドすることはできません。

GKE Autopilot クラスタでは、すべてのノードで Balanced コンピューティング クラスのデフォルトのマシンシリーズ(N2D)が自動的に使用されます。
ノードプール レベル
  • 新しい Standard ノードプールを作成する
  • 既存の Standard ノードプールを更新する
 GKE は、ノードプール内のノードのメモリの内容を暗号化します。これは、Confidential GKE Node がクラスタレベルで無効になっている場合にのみ可能です。

Hyperdisk Balanced の情報保護モード

Hyperdisk Balanced の情報保護モードをブートディスク ストレージに対して有効にすることもできます。これにより、追加のハードウェア格納型エンクレーブでデータが暗号化されます。

Hyperdisk Balanced の情報保護モードは、次のいずれかを行うときに有効化できます。

  • 新しいクラスタを作成する
  • 新しいノードプールを作成する

既存のクラスタまたはノードプールを更新して Hyperdisk Balanced の情報保護モードの設定を変更することはできません。

次の表に示すのは、Hyperdisk Balanced の情報保護モードの設定をクラスタレベルまたはノードプール レベルで有効にしたときに適用される GKE の動作です。

Hyperdisk Balanced の情報保護モードの設定 設定方法 動作
クラスタレベル 新しいクラスタを作成する クラスタのデフォルト ノードプールのみが、Hyperdisk Balanced の情報保護モードの設定を使用します。以下のことはできません
  • クラスタ内の既存のノードプールに対して Hyperdisk Balanced の情報保護モードの設定を無効にする
  • 既存のクラスタに対して Hyperdisk Balanced の情報保護モードの設定を有効にする
ノードプール レベル 新しいノードプールを作成する 新しいノードプールについては、その作成時に Hyperdisk Balanced の情報保護モードの設定を構成できます。Hyperdisk Balanced の情報保護モードの設定を使用するように既存のノードプールを更新することはできません。

料金

次の料金が適用されます。

  • Autopilot:

    1. Confidential GKE Node を有効にすると、クラスタのデフォルトのマシンシリーズが N2D に変更されるため、Balanced コンピューティング クラスの料金に基づいて費用が発生します。料金の詳細については、Autopilot の料金をご覧ください。
    2. GKE Autopilot の料金のほか、Confidential GKE Node の料金が発生します。詳細については、Confidential VM の料金の「GKE Autopilot 上の Confidential GKE Node の料金」をご覧ください。

  • Standard: Confidential GKE Node をデプロイするための追加料金は、Compute Engine Confidential VMs の料金以外は発生しません。ただし、Confidential GKE Node は、起動時に生成するログデータが標準ノードよりも若干多くなることがあります。ログの料金については、Google Cloud Observability の料金をご覧ください。

可用性

Confidential GKE Node には、可用性について次の要件があります。

  • ノードは、選択した Confidential Computing テクノロジーをサポートするゾーンまたはリージョンに配置する。詳細については、サポートされているゾーンを表示するをご覧ください。
  • Autopilot クラスタは GKE バージョン 1.30.2 以降を使用する。
  • Standard ノードプールでは、サポートされているマシンタイプと Container-Optimized OS ノードイメージのいずれかを使用する。

始める前に

始める前に、次の作業が完了していることを確認してください。

  • Google Kubernetes Engine API を有効にする。
    • Google Kubernetes Engine API の有効化
  • このタスクに Google Cloud CLI を使用する場合は、gcloud CLI をインストールして初期化する。すでに gcloud CLI をインストールしている場合は、gcloud components update を実行して最新のバージョンを取得する。

要件

  • Autopilot クラスタは GKE バージョン 1.30.2 以降を使用する。
  • Standard ノードプールでは、サポートされているマシンタイプContainer-Optimized OS ノードイメージのいずれかを使用する。

  • Standard クラスタとノードプールは、選択した Confidential Computing テクノロジーに応じて、次の GKE バージョンのいずれかを使用する。

    • AMD SEV: 利用可能な GKE バージョン。
    • AMD SEV-SNP: 1.32.2-gke.1297000 以降。
    • Intel TDX: 1.32.2-gke.1297000 以降。

Autopilot で Confidential GKE Node を使用する

Autopilot クラスタ全体で Confidential GKE Node を有効にすると、すべてのノードが機密ノードになります。すべてのワークロードは機密ノードで実行されます。ワークロード マニフェストに変更を加える必要はありません。Confidential GKE Node を有効にすると、クラスタのデフォルトのマシンシリーズが N2D に変更されます。

新しい Autopilot クラスタで Confidential GKE Node を有効にする

次のコマンドを実行します。

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --enable-confidential-nodes

次のように置き換えます。

  • CLUSTER_NAME: Autopilot クラスタの名前。
  • LOCATION: クラスタの Compute Engine のロケーション。

クラスタはバージョン 1.30.2 以降を実行している必要があります。クラスタの作成時に特定のバージョンを設定するには、新しい Autopilot クラスタのバージョンとリリース チャンネルを設定するをご覧ください。

Standard モードで Confidential GKE Node を使用する

Confidential GKE Node は、Standard モードでクラスタレベルまたはノードプール レベルで有効にできます。

Standard クラスタで Confidential GKE Node を有効にする

クラスタの作成時に、ノードの Confidential Computing テクノロジーを指定できます。クラスタの作成時にテクノロジーを指定すると、次のような影響があります。

  • そのクラスタでは、Confidential GKE Node を使用しないノードプールを作成できません。
  • クラスタを更新して Confidential GKE Node を無効にすることはできません。
  • 個々のノードプールでクラスタレベルの Confidential Computing テクノロジーをオーバーライドすることはできません。

クラスタレベルで Confidential Computing の設定を構成すると、その設定は永続的になります。そのため、クラスタを作成する前に、次のユースケースを検討してください。

  • クラスタでノード自動プロビジョニングを使用するには、次のすべてを行う必要があります。

    • gcloud CLI を使用してクラスタを作成し、クラスタ作成コマンドで --enable-confidential-nodes フラグを指定します。
    • ノード自動プロビジョニングがサポートする Confidential Computing テクノロジーを選択します。

    詳細については、ノード自動プロビジョニングで Confidential GKE Node を使用するをご覧ください。

  • クラスタ内の特定のノードプールを暗号化するために別の Confidential Computing テクノロジーを使用する場合は、このセクションをスキップして、ノードプール レベルでテクノロジーを指定します。

Confidential GKE Node を使用する Standard モードのクラスタを作成するには、次のいずれかのオプションを選択します。

gcloud

新しいクラスタを作成するときに、gcloud CLI で --confidential-node-type オプションを指定します。

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

次のように置き換えます。

  • CLUSTER_NAME: クラスタの名前。
  • LOCATION: クラスタの Compute Engine のロケーション。ロケーションは、指定した Confidential Computing テクノロジーをサポートしている必要があります。詳細については、可用性のセクションをご覧ください。
  • MACHINE_TYPE: 指定した Confidential Computing テクノロジーをサポートするマシンタイプ。詳細については、可用性のセクションをご覧ください。

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: 使用する Confidential Computing テクノロジー。次の値を使用できます。

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

クラスタ作成コマンドで --enable-confidential-nodes フラグを使用することもできます。コマンドでこのフラグのみを指定すると、クラスタは AMD SEV を使用します。コマンドで指定するマシンタイプは、AMD SEV をサポートしている必要があります。ただし、同じコマンドで --confidential-node-type フラグを指定すると、GKE は --confidential-node-type フラグで指定した値を使用します。

コンソール

  1. Google Cloud コンソールで、[Kubernetes クラスタを作成する] ページに移動します。

    [Kubernetes クラスタの作成] に移動

  2. ナビゲーション パネルの [クラスタ] の下の [セキュリティ] をクリックします。

  3. [Confidential GKE Node を有効にする] チェックボックスをオンにします。

  4. 必要に応じてクラスタを構成します。

  5. [作成] をクリックします。

クラスタの作成の詳細については、リージョン クラスタの作成をご覧ください。

Hyperdisk Balanced の情報保護モードの設定を指定して作成されたノードプールについては、そのノードプール内のノードのみが、指定した設定に従うよう制約されます。クラスタ内に作成される新しいノードプールについては、作成時に情報保護モードを設定する必要があります。

ノードプールで Confidential GKE Node を有効にする

クラスタレベルで Confidential GKE Node が無効になっている場合、特定のノードプールで Confidential GKE Node を有効にできます。

Hyperdisk Balanced の情報保護モードの設定は、ノードプールの作成をリクエストするときに指定する必要があります。

新しいノードプールを作成する

Confidential GKE Node が有効になっている新しいノードプールを作成するには、次のコマンドを実行します。

gcloud container node-pools create NODE_POOL_NAME \
    --location=LOCATION \
    --cluster=CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

次のように置き換えます。

  • NODE_POOL_NAME: 新しいノードプールの名前。
  • LOCATION: 新しいノードプールのロケーション。ロケーションは、指定した Confidential Computing テクノロジーをサポートしている必要があります。詳細については、可用性のセクションをご覧ください。
  • CLUSTER_NAME: クラスタの名前。
  • MACHINE_TYPE: 指定した Confidential Computing テクノロジーをサポートするマシンタイプ。詳細については、可用性のセクションをご覧ください。

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: 使用する Confidential Computing テクノロジー。次の値を使用できます。

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

クラスタ作成コマンドで --enable-confidential-nodes フラグを使用することもできます。コマンドでこのフラグのみを指定すると、クラスタは AMD SEV を使用します。コマンドで指定するマシンタイプは、AMD SEV をサポートしている必要があります。ただし、同じコマンドで --confidential-node-type フラグを指定すると、GKE は --confidential-node-type フラグで指定した値を使用します。

既存のノードプールを更新する

この変更を行うにはノードの再作成が必要になり、実行中のワークロードが中断する可能性があります。この変更について詳しくは、メンテナンス ポリシーに準拠せずにノード アップグレード戦略を使用してノードを再作成する手動変更の表で対応する行をご覧ください。ノードの更新の詳細については、ノードの更新による中断の計画をご覧ください。

既存のノードプールを更新して Confidential GKE Node の使用や、ノードが使用する Confidential Computing テクノロジーの切り替えを行えます。Confidential GKE Node を使用するように既存のノードプールを更新するには、次のコマンドを実行します。

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

次のように置き換えます。

  • NODE_POOL_NAME: ノードプールの名前。
  • CLUSTER_NAME: クラスタの名前。

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: 使用する Confidential Computing テクノロジー。次の値を使用できます。

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

ノードは、ノードの更新先となる Confidential Computing テクノロジーをサポートするマシンタイプをすでに使用している必要があります。ノードが選択したテクノロジーをサポートしていないマシンタイプを使用している場合(たとえば、AMD CPU を搭載したマシンタイプを使用していて、Intel TDX を有効にする場合)、次の操作を行います。

  1. ノードプールですでに Confidential GKE Node を使用している場合は、Confidential GKE Node を無効する
  2. ノードプールのマシンタイプを変更する
  3. 上記のコマンドを実行して、新しい Confidential Computing 設定を使用するようにノードプールを更新する。

ノード自動プロビジョニングで Confidential GKE Node を使用する

自動プロビジョニングされたノードプールで Confidential GKE Node を使用するようにノード自動プロビジョニングを構成できます。ノード自動プロビジョニングは、次の Confidential Computing テクノロジーをサポートしています。

  • AMD SEV
  • AMD SEV-SNP

ノード自動プロビジョニングで Confidential GKE Nodes を使用するには、クラスタの作成、ノードプールの作成、ノードプールの更新時に --enable-confidential-nodes gcloud CLI フラグを指定します。次のその他の考慮事項も適用されます。

  • 新しい自動プロビジョニング ノードプールを作成する: 選択した Confidential Computing テクノロジーがノード自動プロビジョニングでサポートされていることを確認します。
  • 既存のノードプールを更新する: 選択した Confidential Computing テクノロジーがノード自動プロビジョニングでサポートされていることを確認します。
  • 新しいクラスタを作成する: 選択した Confidential Computing テクノロジーがノード自動プロビジョニングでサポートされていることを確認します。この選択は、クラスタレベルで元に戻すことができません
  • 既存のクラスタを更新する: クラスタで Confidential GKE Node がすでに使用されている必要があります。クラスタで使用する Confidential GKE Nodes テクノロジーは、ノード自動プロビジョニングでサポートされている必要があります。

ワークロードを Confidential GKE Node ノードプールにのみ配置する

クラスタレベルで Confidential GKE Node を有効にすると、すべてのワークロードが Confidential ノードで実行されます。マニフェストを変更する必要はありません。ただし、特定の Standard モードのノードプールでのみ Confidential GKE Node を有効にする場合は、Confidential GKE Node を使用するノードプールでのみワークロードを実行する必要があることを宣言的に指定する必要があります。

  • 特定の Confidential Computing テクノロジーでワークロードを実行する必要がある場合は、次の例のように、cloud.google.com/gke-confidential-nodes-instance-type ラベルを含むノードセレクタを使用します。

    apiVersion: v1
kind: Pod
spec:
# For readability, lines are omitted from this example manifest
  nodeSelector:
    cloud.google.com/gke-confidential-nodes-instance-type: "CONFIDENTIAL_COMPUTE_SELECTOR"

    CONFIDENTIAL_COMPUTE_SELECTOR は、ノードプールが使用するテクノロジーの名前に置き換えます。このフィールドは次の値をサポートしています。その値は、大文字で指定する必要があります。

    • SEV: AMD SEV
    • SEV_SNP: AMD SEV-SNP
    • TDX: Intel TDX

  • Confidential Computing テクノロジーに関係なく、ワークロードを任意の Confidential Node で実行できるようにするには、次の例のようにノード アフィニティ ルールを使用します。

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: Exists

  • 使用可能な Confidential Computing テクノロジーのサブセットのみを使用するノードでワークロードを実行するには、次の例のようなノード アフィニティ ルールを使用します。

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: In
            values:
            - SEV
            - SEV_SNP
            - TDX

    values フィールドで、ワークロードを実行する Confidential Computing テクノロジーのみを指定します。

Confidential GKE Node が有効になっていることを確認する

クラスタまたはノードが Confidential GKE Node を使用しているかどうかを確認するには、クラスタまたはノードを調査します。

Autopilot モードまたは Standard モードのクラスタの場合

Autopilot クラスタまたは Standard クラスタが Confidential GKE Node を使用しているかどうかは、gcloud CLI またはGoogle Cloud コンソールで確認できます。

gcloud

クラスタの説明を表示します。

gcloud container clusters describe CLUSTER_NAME

Confidential GKE Node が有効になっている場合、出力はクラスタのオペレーション モードに応じて次のようになります。

Standard モードのクラスタ

confidentialNodes:
  confidentialInstanceType: CONFIDENTIAL_COMPUTE_SELECTOR

Autopilot モードのクラスタ

confidentialNodes:
  enabled: true

コンソール

  1. Google Cloud コンソールで [Google Kubernetes Engine] ページに移動します。

    Google Kubernetes Engine に移動

  2. 検査するクラスタの名前をクリックします。

  3. [セキュリティ] の [Confidential GKE Node] フィールドで、Confidential GKE Node が [有効] になっていることを確認します。

Autopilot モードまたは Standard モードのノードの場合

特定の Autopilot ノードまたは Standard ノードが Confidential GKE Node を使用しているかどうかを確認する手順は次のとおりです。

  1. ノード名を確認します。

    kubectl get nodes

  2. ノードの詳細を確認します。

    kubectl describe NODE_NAME

    NODE_NAME は調査するノードの名前に置き換えます。

出力は次のようになります。

Name:               gke-cluster-1-default-pool-affsf335r-asdf
Roles:              <none>
Labels:             cloud.google.com/gke-boot-disk=pd-balanced
                    cloud.google.com/gke-container-runtime=containerd
                    cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR
                    cloud.google.com/gke-nodepool=default-pool
                    cloud.google.com/gke-os-distribution=cos
                    cloud.google.com/machine-family=e2
# lines omitted for clarity

この出力では、cloud.google.com/gke-confidential-nodes-instance-type ノードラベルは、ノードが機密ノードであることを示しています。

Standard モードのノードプールの場合

ノードプールが Confidential GKE Node を使用しているかどうかを確認するには、次のコマンドを実行します。

gcloud container node-pools describe NODE_POOL_NAME \
    --cluster=CLUSTER_NAME

Confidential GKE Node が有効化されている場合、出力は次のようになります。

confidentialNodes:
  cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR

Hyperdisk Balanced の情報保護モードの設定が有効化されている場合、出力は次のようになります。

enableConfidentialStorage: true

個々の Standard モードノードの場合

Standard クラスタ内の特定のノードの機密性を検証するには、次のいずれかを行います。

組織のポリシーの制約を設定する

組織のポリシーの制約を定義して、組織全体に作成された VM リソースすべてが Confidential VMs インスタンスであることを保証できます。GKE の場合、[Confidential Computing 以外を制限する] 制約をカスタマイズして、使用可能な Confidential Computing テクノロジーのいずれかを有効にして、すべての新しいクラスタを作成するように要求できます。組織のポリシーの制約を適用するときは、次の例のように、拒否リストに container.googleapis.com API サービスの名前を追加します。

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com container.googleapis.com \
    --project=PROJECT_ID

PROJECT_ID は、実際のプロジェクト ID に置き換えます。

Hyperdisk Balanced の情報保護モード対応の PersistentVolume を作成する

スループットまたは IOPS の許容値については、Hyperdisk ボリュームのパフォーマンス レベルを計画するをご覧ください。

次の例では、Hyperdisk のタイプごとに Hyperdisk Balanced の情報保護モードの StorageClass を作成する方法を示します。

Hyperdisk Balanced

  1. 次のマニフェストを confidential-hdb-example-class.yaml という名前のファイルに保存します。

    apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: balanced-storage
provisioner: pd.csi.storage.gke.io
volumeBindingMode: WaitForFirstConsumer
allowVolumeExpansion: true
parameters:
  type: hyperdisk-balanced
  provisioned-throughput-on-create: "250Mi"
  provisioned-iops-on-create: "7000"
  enable-confidential-storage: true
  disk-encryption-kms-key: "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/HSM_KEY_NAME"

    次のように置き換えます。

    • KMS_PROJECT_ID: Cloud KMS 鍵を所有するプロジェクト
    • REGION: ディスクが配置されるリージョン
    • KEY_RING: 鍵を含むキーリングの名前
    • HSM_KEY_NAME: ディスクの暗号化に使用される HSM 鍵の名前

  2. StorageClass を作成します。

    kubectl create -f hdb-example-class.yaml

  3. Hyperdisk Balanced ボリュームの情報保護モードを使用する GKE 用の Hyperdisk Persistent Volume Claim を作成します。

クラスタで使用可能な StorageClass の名前を確認するには、次のコマンドを実行します。

kubectl get sc

制限事項

Confidential GKE Node には、次の制限事項があります。

ライブ マイグレーションの制限

N2D マシンタイプを使用し、Confidential Computing テクノロジーとして AMD SEV を使用する Compute Engine Confidential VM は、ライブ マイグレーションをサポートしています。これにより、ホスト メンテナンス イベントによるワークロードの中断を最小限に抑えることができます。ライブ マイグレーションが行われる GKE バージョンは次のとおりです。

  • 1.27.10-gke.1218000 以降
  • 1.28.6-gke.1393000 以降
  • 1.29.1-gke.1621000 以降

ライブ マイグレーションの追加時にノードプールがサポート対象のバージョンをすでに実行している場合は、同じバージョンまたは別のサポート対象バージョンにノードプールを手動でアップグレードします。ノードをアップグレードすると、ノードの再作成がトリガーされ、新しいノードでライブ マイグレーションが有効になります。

ライブ マイグレーションに対応している Compute Engine マシンタイプの詳細については、サポートされている構成をご覧ください。

ライブ マイグレーションをサポートしていないノードでホスト メンテナンス イベントが発生すると、ノードは NotReady 状態になります。ノードが再び準備状態になるまで、Pod の実行は中断されます。メンテナンスに 5 分以上かかる場合、GKE は他のノードで Pod の再作成を試みることがあります。

Confidential GKE Node を無効にする

Confidential GKE Node を無効にできるのは、ノードプールが Standard モードの場合のみです。クラスタレベルで Confidential GKE Node を使用するクラスタにノードプールがある場合、ノードプール レベルでこの機能を無効にすることはできません。

次のコマンドを実行して、ノードプールで Confidential GKE Node を無効にします。

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --no-enable-confidential-nodes

この変更を行うにはノードの再作成が必要になり、実行中のワークロードが中断する可能性があります。この変更について詳しくは、メンテナンス ポリシーに準拠せずにノード アップグレード戦略を使用してノードを再作成する手動変更の表で対応する行をご覧ください。ノードの更新の詳細については、ノードの更新による中断の計画をご覧ください。

次のステップ